云计算导论 课件 第3、4章 云计算架构、云安全

《云计算导论》第三章

云计算架构目录云计算的本质1云计算的架构2云栈和云体3软件定义的数据中心4实践：OpenStack53.1云计算的本质3.1.1革命性概念：IT作为服务云计算将所有IT资源包装为服务予以销售，也就是所谓的“IT作为服务”。绝不可以轻看IT作为服务这个概念。尽管在主机时代就是如此，但IT作为服务这种理念仍然具有颠覆性的特点。因为我们大部分人已经习惯拥有自己的IT资产，对IT资产由别人拥有这种模式抱有潜意识的抵触情绪。不过，如果仔细分析这个问题，我们就会发现，IT作为服务是顺理成章的一种自然演变。在《大切换：重新布线世界，从爱迪生到谷歌公司》一书中，作者尼古拉斯·卡尔（NicholasCarr）说：“对于任何的通用技术来说，由于它可以被任何人用来做任何事情，如果能够将这种技术的供应集中起来，就能形成巨大的规模经济效应。”将IT资产集中化需要新的技术和新的商业模式来支持。而云计算恰恰是新的技术范式和新的商业模式的一种结合体，自然顺应了历史的潮流。3.1云计算的本质3.1.2云计算系统工程云计算是信息技术的“系统工程”。好的组织需要优秀的管理者，而云计算将大量计算资源组织在一起，共同工作，那么云计算需要给出一种针对大规模系统的科学管理办法。这种方法能够解决资源组织管理过程中的各种问题。例如：在增加节点、扩大系统规模的同时，还能保证系统性能的近线性提高。在系统可能出问题的情况下，保证系统整体的稳定运行。在面临不同的业务需求时，快速重新组织资源，以新的架构适应变化。这些都要求云计算创新性地将各种技术组织起来，“调和”实现各种功能，即所谓的“系统工程”。云计算扩大了对服务的定义，引入了全新的计算资源管理思路和信息技术的系统工程理念。3.1云计算的本质3.1.3云数据中心云计算是将所有联网的计算和存储资源聚集起来形成规模效应为核心目标的。而就目前形势看，将位于不同机构或行政区划里面的计算资源聚集起来存在着种种困难，故而以前的云计算都采用了折中：用来构建云计算的节点并非跨越行政管理区划，而是由统一的一家机构所掌握。管理这些节点的机构通常将所有用来提供云计算的节点放置在同一个地方，形成所谓的数据中心，支持云计算的数据中心就称为云数据中心。目前，云数据中心的构造主要有两种模式，一种是传统模式，即建机房、布线、放置机器，然后连接起来。国内外现有的数据中心大多是这种模式，微软的都柏林数据中心采取的也是这种模式。这种数据中心一般因为建筑机构的承载限制通常不会超过数千台服务器，面积不会超过几万平方米。例如，微软的都柏林数据中心占地只有2.7万平方米。还有一种数据中心是基于集装箱的数据中心。这种模式由谷歌公司首创，使用集装箱作为机房，每个集装箱里安置有上千台服务器，最多可达2500台，集装箱可以叠起或并排放置，集装箱之间通过线缆连接形成巨大的数据中心。3.1云计算的本质3.1.4云的工作负载模式云计算有自己适合的工作负载模式。如果用户使用下面这几种IT资源的模式中，那么利用云计算将获得巨大的优势。模式1：时开时停模式用户在时开时停这种工作负载模式下使用IT资源的方式不是连续的。使用一段时间，之后停止一段时间。模式2：用量迅速增长模式在该工作负载模式下，用户使用IT资源随着时间的推移，用量不断增长。模式3：瞬时暴涨模式在瞬时暴涨模式下，用户平时的一般时段使用资源用量都相对稳定和平均，但会在特定时间点上出现用量的暴涨和暴跌。模式4：周期性增减模式在周期性增减模式下，用户的IT资产用量呈现周期性的增长和消减。3.1云计算的本质3.1.5云计算的规模效应云计算的规模效应有多大呢？根据美国商务部的统计数据显示，对于自有IT资产的企业来说，2000年花费在资本设备上的IT预算为总预算的45%，但其服务器的平均利用率只有6%，显然非常得不偿失。在实际生活中，服务器的利用率一般为5%～20%，然而这种低利用率场景无法避免。因为尽管IT资产的平均利用率较低，但高峰利用率却可能达到80%甚至更高。3.2云计算的架构3.2.1计算架构的进化1.中央集权架构2.客户机/服务器（C/S）架构3.中间层架构4.浏览器/服务器（B/S）架构5.C/S与B/S混合架构6.面向服务的架构3.2云计算的架构3.2.2一般云计算架构的二维视角在最易于理解的二维视角下，云计算架构由两个部分组成：前端和后端。前端是呈现给客户或计算机用户的部分，包括客户的计算机网络和用户用来访问云应用程序的界面如Web浏览器；后端则是我们常说的“云”由各种组件（如服务器、数据存储设备、云管理软件等）构成。3.3云栈和云体3.3.1逻辑云栈鉴于云计算规模巨大，提供的服务多种多样，也需要建立规则才能够便于管理，即所谓的层次架构。例如，互联网的运转依赖于一个分层的协议栈（如OSI的7层网络协议模型），协议栈里面包括一系列的网络协议（规则），不同的计算机通过这些协议进行沟通或协作。同样，云计算也遵循着分层的规则，其组织分为多个层次，相互叠加，构成一个层次栈，这就是云计算的“云栈”。3.3云栈和云体3.3.2一切皆为服务无论是横向云体架构还是纵向云栈架构；无论是三层结构、四层结构，还是五层结构；无论是公有云、私有云，还是混合云或其他云；更无论是用量暴增、是周期性增减，还是用量稳定增长，都不能改变云计算的本质——服务。如果用一个短语来描述云计算，那就是：IT即服务。云计算的本质就是IT作为服务涵盖了基础设施即服务、平台即服务、软件即服务或任何X即服务。在这种情况下，用户原来需要承担的IT资产采购、配置、运维的责任几乎全部转移到了各种服务供应商身上，从而可以轻装上阵，专注于自己的核心业务，不用为自己并不擅长的后勤花费巨大的人力和物力。3.4软件定义的数据中心3.4.1数据中心的历史数据中心（DataCenter）是数据集中存储、计算、交换的中心。从硬件角度考虑，它给人最直观的印象就是计算设备运作的环境。故而数据中心的发展是与计算机（包括分化出的存储和网络设备）的发展紧密联系在一起的。从第一台电子计算机出现开始，这些精密的设备就一直处于严密周到的保护中。由于最早的电子计算机几乎都应用于军事，不对公众开放服务，而且每台计算机所需要的附属设施都是单独设计的，因此参考价值非常有限。20世纪60年代，商用计算机得到大量应用，其中最具代表性的是IBM的主机（Mainframe）系列。这些都是重达几十吨、占地数百平方米的庞然大物，与之略显不相称的是这些机器缓慢的计算速度和较小的数据存储规模。20世纪80年代，随着大规模集成电路的发展，出现了大量相对廉价的微型计算机。数据的存储和计算呈现一种分散的趋势，越来越多的微型计算机被部署在政府、公司、医院、学校等。数据中心再也不是只有一台计算机，机架式服务器的出现，大幅度提升了数据中心中服务器的密度。随着越来越多的计算机被堆叠在一起，机器之间的互联就显得日益重要起来。3.4软件定义的数据中心3.4.1数据中心的历史数据中心中机器的数量从一台到几千几万台，似乎是朝着不断分散的目标发展。3.4软件定义的数据中心3.4.2继续发展的推动力尽管数据中心发展完善，管理模式也很成熟，但对于数据中心系统管理员来说，传统模式的数据中心仍然存在着许多问题。1.过多的机器2.机器的利用率过低3.应用迁移太困难4.存储需求增长得太快3.4软件定义的数据中心3.4.3软件定义的必要性数据中心的管理员、应用系统的开发人员、最终用户，都认识到将数据中心的各个组成部分从硬件中抽象出来、集中协调与管理、统一提供服务是一件很重要的事情。在这种情况下，需要重新考虑虚拟化技术。在计算机发展的早期，虚拟化技术早就存在了，当时的目的是可以利用昂贵的计算机。数十年后，虚拟化技术再一次变成人们重点关注的对象，这依然是因为要提高资源的利用效率。3.4软件定义的数据中心3.4.4软件定义数据中心的架构分析在软件定义数据中心最底层是硬件基础设施，包括存储、服务器和各种网络交换设备。3.4软件定义的数据中心3.4.5软件定义数据中心的发展通过概览未来数据中心业务的参与者，可以大致梳理一下软件定义数据中心的现状与发展方向。1.需求推动，先行者不断2.新技术不断涌现，发展迅速3.发展空间巨大，标准建立中3.5实践：OpenStack3.5.1初识OpenStackOpenStack提供了一个通用的平台来管理云计算里面的计算（服务器）、存储和网络，甚至应用资源。这个管理平台不仅能管理这些资源，而且不需要用户去选择特定硬件或者软件厂商，厂商特定组件可以方便地被替换成通用组件。OpenStack可以通过基于Web的界面、命令行工具（CLI）和应用程序接口（API）来进行管理。OpenStack官方网站这样描述这个框架：“创建私有云和公有云的开源软件”，以及“OpenStack软件是一个大规模云操作系统”。3.5实践：OpenStack3.5.2OpenStack组件介绍3.5实践：OpenStack3.5.3体验使用OpenStack本节通过使用一个快速部署OpenStack的工具——DevStack来体验OpenStack。用户可以通过DevStack与一个小规模（更大规模部署的代表）的OpenStack交互，不需要深入了解OpenStack，也不需要大量硬件，就可以在一个小规模范围内通过DevStack来体验OpenStack。DevStack可以快速部署组件，来评估它们在生产用例中的使用。DevStack可以帮助用户在一个单服务器环境中部署与大规模多服务器环境中一样的OpenStack组件。本章结束！《云计算导论》第四章云安全目录云基础设施安全1云数据安全2云应用安全3云安全标准和法律法规44.1云基础设施安全基础设施亦称公共设施，是指为社会生产和居民生活提供公共服务的物质工程设施，它是社会赖以生存发展的一般物质条件。云基础设施是指为互联网用户提供存储、计算、网络带宽等云计算服务的物质工程设施，是构建云计算资源和服务的一般物质条件。云基础设施安全是为了保障云计算资源中心正常运行，提供可靠的云服务，实现所承诺的功能和性能所需要采取的安全措施、安全技术手段和管理策略。具体来说，云基础设施安全又分为网络硬件安全和主机系统安全，主机系统安全主要是基础软件系统和中间件系统的安全。4.1云基础设施安全4.1.1网络硬件安全网络硬件安全主要是指云计算硬件设备及其部署环境的安全，重点解决硬件设备的物理安全问题，主要包括两个方面的安全：环境安全和设备安全。1．环境安全环境安全是指云基础设施所处的外部环境的安全，包括场地选择、机房建造和装修、电力保障、网络保障、消防安全和机房管理等。1）场地选择2）机房建造和装修3）电力保障4）网络保障5）消防安全6）机房管理4.1云基础设施安全4.1.1网络硬件安全2．设备安全设备是指构成云基础设施资源中心的各种网络设备、计算机设备以及辅助设备，如供电相关设备等。这些设备可能受到环境因素、未授权访问、供电异常、设备故障和人为破坏等方面的威胁，保障这些设备的安全包括以下几个方面：1）防盗防毁2）防止电磁泄漏和电磁干扰3）设备维护4）设备报废与再利用5）设备转移4.1云基础设施安全4.1.2主机系统安全相对于硬件安全，软件系统的安全更频繁地影响着云基础设施的正常运行，软件故障、系统漏洞、病毒感染、黑客入侵等无时无刻不在影响着云基础设施的正常高效运行，消除或减少这些危害的技术手段主要有软件测试、漏洞扫描、防火墙、入侵检测和恶意软件防范。1．软件测试2．漏洞扫描3．防火墙4．入侵检测5．恶意软件防范4.1云基础设施安全4.1.3安全管理长期以来，人们保障安全的手段偏重于依靠技术，在安全技术和产品的研发上不遗余力，新的技术和产品不断涌现。消费者也更加相信安全产品，把大部分安全预算也都投入到信息安全产品的采购上。但事实上，复杂的信息安全技术和产品往往在完善的管理下才能发挥作用。据统计，70％的泄密犯罪来自组织内部，相关安全技术人员的违规操作非常普遍。因此，人们在信息安全领域总结出了“三分技术，七分管理”的实践经验和原则。4.2云数据安全4.2.1数据存储安全数据存储安全是指数据在云基础设施中存储所涉及的安全问题，在存储中数据安全的主要目标是保障数据的机密性、完整性和可用性。1．机密性保障机密性是指数据不被泄露给非授权的用户、实体或过程，或被其利用。对数据进行加密是保障数据机密性的一个重要方法，即使该数据被人非法窃取，对他们来说也只是一堆乱码，他们无法知道具体的信息内容。2．完整性保障完整性是指数据未经授权不能进行更改。完整性要求数据不应受到各种原因的破坏，影响数据完整性的主要因素有设备故障、人为攻击、计算机病毒等。3．可用性保障可用性是指数据可以被授权实体访问并按需求使用。可用性涉及的范围很广，在此处数据存储的可用性主要是指数据不会因为突发的灾害或系统错误而丢失。保障数据可用性的方法主要通过备份或复制数据副本来实现。4.2云数据安全4.2.2数据访问安全在实现安全存储之后，用户在使用数据的过程中也存在安全问题。首先，非授权的用户不能访问数据，同时授权的用户也不能被限制而造成使用困难。其次，为防止使用数据过程中被拦截的风险，数据的传输安全也同样重要。1．访问控制访问控制是在保障授权用户能获取所需数据的同时拒绝非授权用户的安全机制。2．传输安全在